VPC Service Controls 是 Google Cloud 的一项功能,可让您设置服务边界并创建数据传输边界。您可以将 VPC Service Controls 与 Eventarc 搭配使用来帮助保护服务。
我们建议您在创建服务边界时保护所有服务。
限制
在受服务边界保护的项目中,存在以下限制:
Eventarc Advanced
服务边界外部的 Eventarc Advanced 总线无法接收来自边界内的 Google Cloud 项目的事件。边界内的 Eventarc Advanced 总线无法将事件路由到边界外的使用方。
- 如需发布到 Eventarc Advanced 总线,事件的来源必须与总线位于同一服务边界内。
- 如需使用消息,事件使用方必须位于与总线相同的服务边界内。
您无法在服务边界内创建 Eventarc Advanced 流水线。您可以测试 VPC Service Controls 对
MessageBus
、GoogleApiSource
和Enrollment
资源的支持,并查看入站流量的平台日志;但无法测试 VPC Service Controls 出站流量。如果其中任何资源位于服务边界中,您将无法设置 Eventarc Advanced 以便在该边界内端到端传送事件。
Eventarc Standard
Eventarc Standard 受到与 Pub/Sub 相同限制的约束:
VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc 触发器的操作。 将事件路由到此类目标时,VPC Service Controls 保护不适用。
后续步骤
如需了解启用 VPC Service Controls 的最佳做法,请参阅启用 VPC Service Controls 的最佳做法。
如需了解设计服务边界的最佳做法,请参阅设计和构建服务边界。
如需设置服务边界,请参阅创建服务边界。